斯诺登再爆“极光黄金”计划,新OA为企业信息安全支招

  近日,美国“截击”网站根据斯诺登提供的文件,披露美国国家安全局从2010年就开始实施一个代号为“极光黄金”的秘密监视计划。通过秘密监视全球手机运营商,以发现手机网络中的安全漏洞,利用这些漏洞对手机通信进行窃听。被国安局监视的目标包括世界各地绝大多数手机运营商,其运营的手机网络覆盖几乎每一个国家。这些运营商不仅来自与美国敌对的国家,还来自美国的盟友。利比亚、中国和伊朗的一些运营商也在被监视之列。

  “斯诺登”仍然在不断发酵,不时抛出炸弹,但这也从侧面提醒了我们信息安全的重要性。也许以前我们还未对信息安全提起重视和保护的意识,但到了互联网飞速发展和渗透生活的今天,如果我们还没有意识好好保护自己,保护企业,那么就犹如裸奔而不自知,是多么可怕的一件事!那么让我们再次强调一下,信息安全对企业有什么意义呢?

  首先我们明白,进入信息时代,一个现代化的企业运营,是无法脱离信息技术和商用IT系统的支撑的。而商用IT最核心的芯片、CPU、操作系统、数据库系统和Internet互联网,绝大部分掌握在美国企业和美国政府手里,在一个较长时期内无法撼动。但是,这不代表企业就无所作为,因为除了那些核心之外,企业中还广泛存在着LAN局域网络,OA、BPM、CRM、ERP等应用系统,以及管理IT系统的人。我们列出如下一些保障信息安全的方法手段,而无论大中小型企业,结合本企业实际情况,都可以立刻参照实施

  。(1)优先采购和使用国产路由器,来组建企业局域网络

  现在的企业级路由器技术和产品都很成熟,作为企业使用常规的功能模块即可,不要贪图什么高端或特殊功能模块。像国内的华为技术、中兴通讯、迅捷网络等厂商都有多年耕耘,甚至进入到核心的芯片设计领域,价格上相比美国思科CISCO还有优势。而美国政府一直阻挠华为技术、中兴通讯进入美国市场,从侧面也可印证国产设备的强大竞争力。在企业信息安全方面,斯诺登揭露美国国安局通过思科路由器监控中国网络和电脑;早前也有传闻,每一台思科路由器出厂前,都会经过美国国安局的“检测”。所以从现在开始,可以优先采购和使用国产路由器,有效避免企业内部信息被泄露和被监控。

  (2)优先采购和使用具有核心技术的国产办公软件

  企业广泛使用的Office办公软件,其生产商微软公司同样被斯诺登爆料:与美国政府合作,帮助国安局获取互联网加密文件数据。另外,微软公司在中国启动了最严厉的反盗版措施,包括电脑定时自动黑屏、起诉盗版软件生产者、直接收集证据起诉盗版使用者。我们建议,一方面,企业采购服务器或PC时,要求供应商预装正版操作系统;另一方面,避免采购和使用Office办公软件,而选择具有核心技术的国产办公软件,譬如WPS Office,在功能体验上毫不逊色,完全兼容处理Office文档,而售价还不到Office的1/10。

  (3)优先采购和使用具有核心技术的国产应用系统

  现代企业的高效运营,离不开OA、BPM、CRM、ERP等企业应用系统的支持。在这些领域,国内的技术和产品都较成熟,服务也快速有效。针对中国国情的特殊性,国产应用系统的适应性还更强,反而国外产品水土不服。当然,我们应该选择那些具有核心技术的国内产品(而不是基于国外产品或者开源软件,在外面套层壳或者做个汉化),这样才能保证系统可靠性、扩展性和信息安全。另外在选择对比时应该抓住重点:用产品说话,而不是思想、概念、术语或奖项。

  (4)慎重选择基于开源或者脚本语言的应用系统

  开源软件的源码是公开的,可以被公众使用,但是开源并不意味着免费。基于开源软件的应用系统,对于开发者来说省时省力,对于使用者来说则暗藏风险:侵犯第三方权益、留有后门或内嵌广告、系统漏洞显著易被攻入等等。基于PHP、ASP、JSP等脚本语言开发的应用系统,也存在完全类似的风险。连自身源码都无法保护,又怎能保护企业信息安全?不要去担心美国政府了,一般黑客或者同行就能下手。能够完整保护自身源码的,还属C++、Pascal等编译语言,国内一些掌握核心技术的厂商正在使用它们,从而大大提升了系统安全性,还有系统性能。

  (5)慎重选择基于云计算或者在线租用的应用系统

  云计算的技术正在发展中,本身定义较为复杂。可以简要理解为:利用互联网来操作和使用应用系统,业务数据存储在供应商的“云端”。在线租用的应用系统,与此类似。目前客观看来,互联网连接、供应商“云端”、还有供应商自身,都不算非常安全可靠。企业要把重要的业务数据存储“云端”,需要慎之又慎。值得注意的是,还有“私有云”这样的概念号称信息安全,实际上供应商自己也说不清楚。

  (6)明确界定IT系统权限,通过流程审批后再授权

  好的企业IT应用系统,提供非常细致的权限划分,譬如:访问级权限——哪些人能看到什么?操作级权限——哪些人能修改什么?流程级权限——哪些人能授权别人做什么?建议企业明确界定权限,在IT系统初始化时批量配置好。后续系统运行时,申请权限的人都提交一个审批流程,在上级领导审批通过后,再由管理员配置和授权。实践证明,这种方式能够分级保护企业的信息安全,避免有意或无意的泄露。

  (7)选择可信的系统管理员,定期进行操作审计

  几乎所有的企业IT系统,都需要一个系统管理员来进行维护、管理或配置,企业应该选择一个可信的人来承担。有可能的话,和系统管理员再签署一份信息保密协议。对于系统管理员的所有操作,好的企业应用系统都留有日志,高级领导可以定期进行审计。通过这些方式方法,企业能够有效地警示和预防可能的信息泄露,为信息安全再加一把锁。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:2014年国内外网络安全大事记:从BAT到中美政府,互联网到智